|
Forside Profil IT sikkerhed Søgemaskineoptimering Reference Ressourcer |
|||||||
Midlertidige links: vidensbankHacking for Managers.Del 1Læs i samme serie: IT sikkerhedschefens dilemmaer - Løsningen på nogle af dem. De fleste mellemstore og store virksomheder finder på et tidspunkt ud af, at de er nødt til at placerer ansvaret for it sikkerheden et sted og de fleste af dem finder også ud af at dette ansvar skal placeres uden for IT afdelingerne og gerne så højt placeret i organisationen at der både er pondus til at pålægge it afdelingen ting og også til at kunne påvirke tildelingen af ressourcer så IT afdelingen reelt får mulighed for at løse deres opgaver tilfredsstillende. Et af problemerne er at den person man vælger til denne opgave ofte har god sikkerhedsmæssig og teknologisk forståelse og ofte også god forståelse for det forretningsmæssige, men naturligvis totalt mangler hands-on erfaring med virksomhedens specifikke installation og derfor ofte må forlade sig meget på hvad IT afdelingen fortæller ham eller hende. Dilemmaet her består i at vores IT afdelinger naturligvis ikke lyver og bevidst forbryder sig mod regler og best praksis. Men samtidig vi ved også, at de altid er underbemandet og ikke har økonomiske ressourcer nok til de opgaver de pålægges, hvorfor de er nødt til at snyde lidt på vægtskålen og prioriterer hårdt i, hvad de anvender deres sparsomme ressourcer, herunder især arbejdstid, til. Dette snyd på vægtskålen og hårde prioritering i udførelsen af opgaverne er både naturlig og helt i orden, så længe at den lever op til hvad virksomheden er parat til at accepterer. Det er kontrol af at tilstanden er acceptable der udføres af IT sikkerhedschefen. Denne artikel giver nogle bud på hvordan IT sikkerhedschefen, med relativt enkle værktøjer og nogle velvalgte spørgsmål kan tolker problemstillingerne og problemområderne inden for det ansvarsområde der er hans. Spørgsmål 1. Hvor mange brud har vi haft på den formulerede sikkerhedspolitik i den sidste måned. I de sidste 2 måneder.Hvis svaret er "Ingen" så kan man derudaf udlede at sikkerhedspolitikken ikke enforces, enten fordi man ikke har tid til at kikke i de logfiler eller værktøjer der bør være i stilling til at kunne afsløre den slags brud. IT sikkerhedschefens første opgave kunne så passende være at tage den slags værktøjer i brug, eller foranstalte at de indbyggede muligheder der findes i de fleste systemer tages i brug samt at overveje om værktøjer kunne tunes så de bliver lettere at gennemskue og kun alarmerer når der er noget at alarmerer for. Et af dilemmaerne er at det koster tid at tune den slags systemer, og hvis man er meget presset på netop tiden kan denne investering være umulig at foretage. Hvis antallet af policy brud er stabilt eller stigende, fortæller det os at det er awareness der er problemet. IT sikkerhedspolitikken fortæller os hvordan vi skal agere når vi anvender vores ressourcer. Træning Lærer os at agere efter politikken og Awareness får os til at gøre det i praksis. Kurven over policy brud bør bølge hen over årene, men altid holde sig under et acceptabelt maximum. Awareness programmer vil få antallet til at falde, men køres de hele tiden vil deres virkning forsvinde, de bliver til baggrundsstøj. Derfor er statistikken over disse sikkerhedsbrud det værktøj der skal fortælle virksomheden hvornår det igen er tid til at iværksætte awareness programmer. Spørgsmål 2. Hvordan opdager vi at vi er under angreb ogSpørgsmål 3. Hvor ofte reviewer vi vores firewall/IDS politikDette svar bør afdække hvilke værktøjer og systemer virksomheden anvender i sit perimeterforsvar og måske også at IT afdelingen godt ved hvad der skal kikkes efter, men der siges jo intet om i hvilken udstrækning de faktisk gør dette. Her kan IT sikkerhedschefen iværksætte nogle ting der over tid vil give ham et væld af informationer som han kan tolke forskelligt ud af. Når han har været på sin post et stykke tid og fået en fornemmelse for hvordan tingene er strikket sammen, bør han iværksætte en række tests der langsomt eskalerer. Start f.eks. med at lave de simple og ufarlige ting som en portscanning med f.eks. Nmap. Lav f.eks. en enkelt TCP scanning om tirsdagen og en UDP scanning om onsdagen op til månedens afslutning. Efter den første beder man så IT afdelingen om en oversigt over alle angreb og potentielle angreb der er opdaget den seneste måned. Bed IT chefen eller den der er ansvarlig for gennemsyn af logfilerne om at forklare hvad der er logget og om man har gjort et eller andet. Denne samtale bør med lidt kendskab til mennesker kunne afdække om logfilerne gennemgås so,m der står i sikkerhedspolitikken eller om man spiller efter gehør og kun har trukket listen ud fordi sikkerhedschefen har spurgt om dem. Efterfølgende kan man så eskalerer sine test ved at scanne med andre værktøjer som f.eks. Nessus, Nikto, Retina eEye og andre værktøjer. Hvis man har den fornødne viden, bør man både køre disse værktøjer for fuld styrke med standard indstillinger, hvilket bør blive hørt af et yhvert IDS system, men også med mere steathey indstillinger og teknikker, hvilket bør blive opdaget alligevel af en vågen firewall- og IDS-analytiker. Næste fase er ikke risikofri og man bør altid overveje hvad og hvordan man udfører dette. Man kan overveje at gøre det mens IT afdelingen er på arbejde og oven i købet at fortælle dem at de skal holde øje med tingene mens man køre testen så der kan reageres hurtigt hvis noget ødelægges. Jeg taler her om at køre deciderede exploits ind mod virksomhedens servere udefra. Man kan med fordel anvende værktøjer som MetaSploit Framework der er gratis og open source eller Core Impact der er relativt kostbart. Core Impact påstås at kunne rulle tilbage og rydde op efter sig, hvilket jeg ikke endnu har haft lejlighed til at teste. Selve oprydningsprocessen efter disse tests er meget vigtig, da man ellers risikerer at efterlade bagdøre til efterfølgende angribere. Denne pen-test, som det vel må betegnes som, kan sige en masse forskellige ting om virksomhedens forsvarsmekanismer og IT afdelingens evne til at opdage og imødegå angreb. Testen kan også sige en masse om patch niveauet og er en anden måde at lave patch baseling på, læs mere om dette herunder. Hvis man gør sig umage med at finde og anvende de nyeste exploits vil en sådan pen-test også kunne sige en masse om virksomhedens IDS administration og hvordan man bruger IDS. Som de fleste vil vide er IDS oftest signatur baseret og kræver derfor jævnlige opdateringer ligesom et antivirus forsvar. Alderen på de anvendte exploits vil altså kunne sige noget om hvor ofte man opdaterer signatur filen på sit IDS. Ved at anvende exploits der ikke findes signaturer for, opnår man flere ting. Dels får man et overblik over IT afdelingens evnet til at opdage angreb der ikke automatisk fanges af systemerne og hvis de er rigtig gode, så vil man forhåbentlig se dem selv lave en signatur fil som uploades til IDS så den herefter vil opdage angrebet. Dette kræver selvfølgelig at angrebet gentages et antal gange, dels så de kan opdage det og dels så de kan få et ordentligt billede af den. Hackere, Hacking med mere
Hacking - Hvordan gøres det Læs også disse serier
Søgemaskineoptimering |
|
||||||
|
Copyright 2006 BufferZone.dk. All Rights Reserved. |
|
||||||
 |
|
|
|
|
|||